企业信息化高级威胁保护ATP方案

1、企业信息化高级威胁保护ATP方案此刻开始，从容应对高级威胁网络攻击是一门生意(qian)231000个邮箱地址信用卡信息护照信息游戏账号定制的恶意软件1000个社交网络粉丝云服务账号1百万个经过验证的垃圾邮件发送注册并激活的SIM卡Source: SymantecInternet Security Threat Report 2015定向攻击的目标企业规模:4什么是高级威胁(Advanced Persistent Threat：APT)定向的出于经济或政治目的，针对特定的组织或国家的隐蔽的利用未知的零日漏洞、攻击工具和规避技术持续的先进的控制系统，持续监控并从特定的目标中提取数据5识别APT攻

2、击过程解析6攻击者尝试获取目标企业中的多个可能的受害者的背景信息，分析他们经常使用的互联网公开资源（如姓名、职务、邮箱、兴趣爱好）。High-value UsersAPT攻击过程解析通过各方面信息的收集，攻击者会尝试与每一个可能的受害者联系，使用社会工程及钓鱼欺骗让受害者打开邮件附件或邮件中的链接。High-value Users识别渗透72016年1月19日下午乌克兰当地时间16:51和16:56分，两封号称从: “Ukrenergo”发送至.ua和.ua的电子邮件拉开了攻击序幕。攻击者伪装成来自乌克兰国有

3、电力公司UKrenergo，攻击对象分别为切尔卡瑟地区电力公司Cherkasyoblenergo的信息咨询处，和Ukrenergo下属机构Central Energy System of SE的Kondrashov Alexander，后者的职务是分站主任（Chief of substationsof Central ES )“根据乌克兰法律”运营乌克兰电力市场的原则“以及”未来十年乌克兰联合能源系统的订单准备系统运营商发展计划“，经乌克兰煤炭工业能源部批准的No.680 20140929系统运营商，在其官方网站发布。主题是：“乌克兰2016年至2025年联合能源系统发展规划”。“请注意！本文

4、件创建于新版本的Office软件中。如需展示文件内容，需要开启宏。”识别渗透APT攻击过程解析8High-value UsersMalwareServer随后恶意代码将利用系统中存在的0-day漏洞开始执行，并从攻击者的控制主机下载更多的恶意程序（木马）。APT攻击过程解析9识别木马会通过命令和控制通道与攻击者联系，攻击者以此盗取用户访问企业核心资源所使用的用户名及密码。渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabaseC&CServerMalwareServer“What should I do now?”“Gat

5、her logins and passwords”APT攻击过程解析10识别通过盗取的用户企业凭证信息，攻击者可以逐步绘制出网络拓扑结构并识别到关键服务器。渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabase发现C&CServerMalwareServerDropServerAPT攻击过程解析11识别攻击者复制所需的数据至一个临时的企业内部中转主机，然后将数据传输至外网攻击者的控制主机。渗透High-value Users凭据采集FilerDomainControllerLDAPDirectoryDatabase发现数

6、据窃取StagingServerC&CServerMalwareServer即使采用最好的阻止技术，能阻止APT攻击吗？12阻止阻断攻击准备了解重要的数据在哪，谁可以访问到检测发现入侵响应抑制和修复问题恢复恢复运营如果已经被黑，能多快发现，多快响应并恢复运营？13准备了解重要的数据在哪，谁可以访问到阻止阻断攻击检测发现入侵响应抑制和修复问题恢复恢复运营检测已经变得很难当前的安全产品是孤立的，没有集成化威胁可以逃逸传统的沙箱技术Known BadContent DetectedSuspiciousNetwork BehaviorKnown Malware BlockedSuspiciousFil

7、e Behavior即使检测到高级威胁，要完全清除威胁对整个企业造成的影响也非易事Malicious Attachment BlockedMalicious URL DetectedNetworksEndpointsEmail14事件响应、清除威胁耗时耗力安全响应分析必须接触端点的用户，而且只能手动检查每个端点上的文件安全策略必须分别更新到每个独立的安全产品上，以此删除所有的恶意文件或阻断攻击NetworksKnown BadContent DetectedSuspiciousNetwork BehaviorEndpointsKnown Malware BlockedSuspiciousFil

8、e BehaviorEmailMalicious Attachment BlockedMalicious URL Detected15威胁可视和智能情报是必要的16网络连接已阻断病毒已检测到恶意邮件已隔离传统的情报每一台机器的每一个网络连接每一个文件的hash、来源、受影响的端点每一个可疑程序的行为、信誉、URL、IP丰富的情报SYMANTEC ADVANCED THREAT PROTECTION解决这些问题优先 什么是最需要的关注的修复 更快利用 已有投资的价值可见 跨越端点、网络、邮件的高级威胁17看见跨越端点、网络、邮件的高级威胁部署简单，一个小时内即可实现威胁可视只需一个按键即可搜索I

9、T基础设施中任何的攻击痕迹，根据文件名、hash、注册表键值、IP、URL一个控制台即可看到端点、网络、邮件中的攻击18优先化什么是最需要关心的 WITH SYMANTEC SYNAPSE聚合与关联端点、网络、邮件中的所有的可疑活动融合赛门铁克全球智能情报网络的数据未处理、处理中、关闭影响优先一个界面观察所有控制点上的所有攻击活动可视化和修复所有相关攻击痕迹，如文件、电子邮件地址或IP统一调查减少安全人员需要调查的事件数量不需要额外的客户端程序，或者复杂的SIEM规则有形结果“赛门铁克ATP的事件流操作减少了高达70%的多余的电子邮件和网络安全告警，这节省了我们很多时间。”大型服务提供商.”

10、19更快检测到高级威胁 WITH SYMANTEC CYNIC覆盖度: Office docs, PDF, Java, containers, portable executables快速、准确地分析几乎所有类型的潜在恶意内容使用虚拟机和物理机检测虚拟机逃逸威胁揪出虚拟机感知恶意程序，执行分析结果结合了赛门铁克全球智能情报的高级机器学习分析Sandbox, Skeptic, SONAR, Insight, Vantage人机交互模拟检测传统技术无法发觉的隐蔽持续型威胁“Cynic detected a trojanized version of a legitimate software pa

11、ckage that a member of my security team downloaded. It saved us from a massive security breach.” leading food provider “Symantec Cynic detected a targeted attack from a nation state as it came in and enabled our security operations team to respond to it quickly.” international electric company在几分钟内拿

12、出证据和情报云服务支持快速更新，避免恶意软件进化，逃逸检测弹性扩展、无需维护、永不宕机20几分钟内抑制、修复复杂攻击一键修复所有控制点在造成不可恢复的损失前发现和修复攻击影响集中观察攻击影响，无需手工查找，无需手工恢复更快修复21无缝集成Symantec Endpoint Protection 12.1，无需安装新的客户端，提升SEP的价值监控with Symantec Managed Security ServicesAPI支持与第三方防火墙、SIEM集成联动利用已有投资关联网络邮件和端点事件with Symantec Email Security.cloud22ADVANCED THREA

13、T PROTECTION 模块23Symantec Advanced Threat Protection: Modules端点可见性：大多数攻击的立足点端点环境上下文、可疑事件、修复集成SEP一体机部署网络可见性：网内所有的设备自动提交可疑文件到沙盒执行一体机旁路镜像部署邮件可见性：最多采用的攻击方式邮件趋势、定向攻击识别基于Email Security.cloud2425Email Security.cloudATP: EmailClientNetATP: NetworkATP: EndpointWANLANATP Management ConsoleSynapseCynicMTASEPMS

14、EP Installed ClientsFirewallInsightInternetData / ConfigData / ConfigData / ConfigNetworkEndpointEmailATP: NetworkATP: EndpointATP: EmailSynapseATP ApplianceDataDataDataData多个控制点协同阻断、检测、响应、修复，最大化安全投资价值26tEmail Security.cloud + Advanced Threat Protection: EmailSymantec GlobalIntelligenceSymantec Cyni

15、cSymantec Synapse Remote / Roaming SEP Endpoints Blacklist Vantage Insight AV Mobile InsightBLACKLISTReal-time InspectionSEP ManagerRemote / Roaming SEP Endpoints可见优先修复虚拟和物理的沙盒关联端点、网络及邮件的安全事件隔离、阻止、清除SEP EndpointsSymantec Advanced Threat Protection ATP 一体机角色ModeManagement ConsoleATP:NATP:EP1- Managem

16、ent UnitYESYES2- Network scannerYES3- All in oneYESYESYES典型部署28Network AAll in oneLog & remediationLog & remediationATP: EndpointInsightATP Model Reference Information88408880CPU1* 6 Core (HT)2* 12 Core (HT)Memory32 GB96 GBDisks1 x 1TB4 x 300GB (Raid 5)Redundant PowerNOYESForm Factor1U2UNICs copper

17、(optional fiber on 8880)Dual port 1 Gbps Bypass card1 Management2 Monitor Quad port 10 Gbps Bypass card1 Management4 Monitor Optional 10G fiberSegmentEnterpriseLarge Enterprise/EnterpriseSizing Network Control Points88408880SPAN / TAP ModeThroughput Mbps5002,000Total Endpoints (estimate)3,33313,333M

18、anagement Unit一个 Management Unit最多支持 50 network scanners一个 Management Unit 最多支持 100,000 端点一个 Management Unit 最多支持 10 SEPMSizing considerationsNetwork ScannerManagement UnitSEPMEndpoint300 to 2000 Mbps10SEPM50 Scanners2k to 13k*100kEndpoints*8840, 8880 or virtual独立第三方评测机构测试结果Miercom Labs, 18th Dec 20

19、15 341310 NX v7.5.1Network appliancev5.4CISCO IPS, inlinev2.0Network sensor35AET: Advanced Evasive Techniques 高级规避检测技术35Fortigate 60DThreat Mgmt FirewallATP Network sensorSnort IDSPA200 NGFW36Dennis Technology Labs, 18th Dec 2015 Dennis 实验室侧重于采集在互联网中真实攻击样本赛门铁克ATP以恶意样本检测准确率和合法软件识别率两项均获得100%准确率37ICSA

20、Labs, 8th Dec 2015 ATP ATD FrameworkWildfireDeep Discovery Inspector唯一做到零误报的ATP产品！销售场景39基本桌面防病毒需求用户的环境和需求用户规划采购集中管理的防病毒软件。用户的痛点桌面防病毒市场鱼龙混杂，如何选择合适产品是个难题。竞争策略利用ATP方案的优势，拉开赛门铁克与友商在技术上的差距，并由此在防病毒方案比选时，为SEP加分。如何切入话题选择产品要参考厂商的产品技术演进路线(如EDR)，避免仅仅比较产品当前功能和价格。与友商方案相比，赛门铁克针对终端安全提供全面的防护、检测、响应和修复。您可以根据企业需求，分阶段导

21、入合适的技术方案。最终实现全面的终端安全管控体系。40SEP用户的扩容用户的环境用户已经购买SEP。用户的痛点无法保证100%SEP安装率。对于感染木马及受到定点攻击的终端没有发现能力。如何切入话题不用部署任何新代理即可获得一键式补救功能,您有兴趣试试吗? 您想要快速隔离受感染的端点吗? 目前您通过何种方式补救受感染的端点? 我们的优势为了检测和阻止当今复杂威胁,赛门铁克的ATP方案可以提供网络侧的监控能力，以及外部的全球智能分析能力。将这些能力与SEP事件关联,才能实现全面可视，深入可控。利用其现有安全投资，所有新增功能都无需安装附加代理。41僵木蠕检测需求用户的需求僵木蠕检测项目。用户的痛点解决企业内部木马问题。IPS误报太多。如何切入话题您是否需要针对网络发现的威胁或已感染终端有更好监控能力？除了传统木马防护外，您对于高级持续威胁防护有兴趣了解吗？我们的优势赛门铁克可以将全球最大的